最近、サーバーAのiframeスニペットがサーバーBのURLを指していたシナリオがありました。一部のクライアントでサーバーAによって悪意のあるものがインストールされていました。このiframeを原因にすることはできますか?ハッカーがiframeのsrcに自分のURLを注入した場合と同じです。ハッカーがサイト上にはiframeポイントURLを変更することができる場合はほとんどの場合、あなたがXSSIframeセキュリティの問題
などをiFrameにする代替できるか、その後のiframeが問題ではありません、あなたのコードがあります。
ウェブサイトはマルウェアを処理する可能性がありますが、ハッカーがサイトを攻撃し、iframeコンテンツを処理するサイトではなくiframeのsrc属性を変更したことを示しています。 iframeを何か他のものに置き換えたとしても、攻撃者が自分のWebサイトの背後にあるデータにアクセスしてページを生成するという事実は、自分自身をiframeに限定することはできないが、リダイレクト、またはJavaScriptや他のタイプの一般的な厄介なものによってクリックされる隠しリンクです。
を経験した
一般に、異なるドメインからのコンテンツを持つIFrameは、クロスドメインスクリプトの制限により、親のWebサイトのDOMにアクセスできません。このような制限を適切に実装していないブラウザが関わるバグはたくさんありました。古いクライアントブラウザが原因である可能性があります。
他のものと同様に可能性があります。 – EFraim
あなたが実際にはいけないiFrameの内部でコードを実行していない限り、iFrameがコードを実行しないようにすることをお勧めします。
私はなぜそれが非常に健全な助言であるので、私が印を付けられたかわからない。彼はどの言語を使っているのかは言及していませんでした。 – Sneakyness
AFAIK、ホストページがブラウザに「このiframeにJavaScriptを実行しない」という信頼できる方法はありません。 HTML5ではこれを行うサンドボックス属性が定義されていますが、最近実行されているブラウザ(2012年11月下旬)ではまだサポートされていません。たぶん、コードの実行を無効にすることによって何を意味するのかを説明する必要があります。もし私があなたを正しく読んでいるのであれば、今日それを実践する方法はありません。 – allyourcode
あなたはサーバーAにアクセスできると言っていますか? – Rakesh
これはあなたが言ったことです - (ハッカーが自分のURLをiframeのsrcに注入しました)。あなたが言うように、iframeのsrc属性が攻撃者のサイトを指していたら、あなたのコードを見てみましょう。 – blowdart